Upload
luis-castillo
View
14.222
Download
2
Embed Size (px)
DESCRIPTION
Presentaciones sobre adquirir e implementar, lineamientos de Cobit 4.0
Citation preview
ADQUIRIR E IMPLEMENTAR
COBIT 4.0
Luis Castillo
3/28
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados.
ADQUIRIR E IMPLEMENTAR
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan la implementación e integración en los procesos del negocio.
Adquirir e Implementar
• Objetivos– Identificar, desarrollar, adquirir, implementar, e integrar
soluciones de IT.– Cambios y mantenimiento de sistemas existentes
• Alcance– Son los nuevos productos capaces de entregar soluciones
adecuadas al negocio?– Se realizarán los proyectos a tiempo?– Trabajarán los sistemas apropiadamente cuando
implementados?– Los cambios afectarán las operaciones diarias?
5/28
ADQUIRIR E IMPLEMENTAR
Además para garantizar que las soluciones sigan cubre los siguientes cuestionamientos de la gerencia:
¿Los nuevos proyectos generan soluciones que satisfagan las necesidades?
¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto?
¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?
¿Los cambios afectarán las operaciones actuales del negocio?
AI ADQUIRIR E IMPLEMENTAR• AI1 Identificar soluciones automatizadas• AI2 Adquirir y mantener aplicaciones de software• AI 3 Adquirir y mantener la arquitectura de tecnología• AI 4 Habilitar la operación y uso• AI 5 Provisionar los recursos de TI• AI 6 Administrar cambios• AI 7 Instalar y acreditar soluciones y cambios
AI1 Identificar soluciones automatizadas
NECESIDADES
Aplicaciones
Funcionalidades
ANALISIS
enfoque
COMPRA
DESARROLLO
• Control sobre el proceso TI de Identificar soluciones automatizadas que satisface el requisito de negocio de TI para traducir los requerimientos funcionales y de control a un diseño efectivo y eficiente de soluciones automatizadas enfocándose en la identificación de soluciones técnicamente factibles y rentables se logra con:– La definición de los requerimientos técnicos y de negocio– Realizar estudios de factibilidad como se define en los estándares de
desarrollo– Aprobar (o rechazar) los requerimientos y los resultados de los estudios de
factibilidad
y se mide con:– Número de proyectos donde los beneficios establecidos no se lograron debido
a suposiciones de factibilidad incorrectas– Porcentaje de estudios de factibilidad autorizados por el propietario del
proceso– Porcentaje de usuarios satisfechos con la funcionalidad entregada
Objetivos de control de alto nivel
Objetivos de control detallados
• AI1.1 Definición y mantenimiento de los requerimientos técnicos y funcionales del negocio.
• AI1.2 Reporte de análisis de riesgos• AI1.3 Estudio de factibilidad y formulación de cursos
de acción alternativos• AI1.4 Requerimientos, decisión de factibilidad y
aprobación.
Directrices generales
Modelo de madurez
• La administración del proceso de Identificar soluciones automatizadas que satisfaga el requisito de negocio de TI de traducir los requerimientos funcionales y de control del negocio a diseño efectivo y eficiente de soluciones automatizadas es:– 0 No existente (la org, no esta consciente de las soluciones– 1 Inicial/Ad Hoc– 2 Repetible pero intuitiva– 3 Proceso definido– 4 Administrado y medible– 5 Optimizado
AI2 Adquirir y mantener software aplicativo• Objetivo de control de alto nivel
Requerimiento de negocios
Aplicaciones
Disponibilidad
Diseño de app, inclusión apropiada de controles aplicativos, requerimientos de seguridad, desarrollo, y configuración de acuerdo a estándares
Objetivo de control de alto nivel
• Control sobre el proceso TI de Adquirir y dar mantenimiento a software aplicativo que satisface el requisito de negocio de TI para construir las aplicaciones de acuerdo con los requerimientos del negocio y haciéndolas a tiempo y a un costo razonable enfocándose en garantizar que exista un proceso de desarrollo oportuno y confiable se logra con;– La traducción de requerimientos de negocio a especificaciones
de diseño– La adhesión a los estándares de desarrollo para todas las
modificaciones– La separación de las actividades de desarrollo, de pruebas y
operativas y se mide con:• Número de problemas en producción por aplicación, que causan
tiempo perdido significativo• Porcentaje de usuarios satisfechos con la funcionalidad entregada
Objetivos de control detallados
• AI2.1 Diseño de alto nivel• AI2.2 Diseño detallado• AI2.3 Control y auditabilidad de las aplicaciones• AI2.4 Seguridad y disponibilidad de las aplicaciones• AI2.5 Configuración e implantación de software aplicativo
adquirido• AI2.6 Actualizaciones importantes en sistemas existentes• AI2.7 Desarrollo de software aplicativo• AI2.8 Aseguramiento de la Calidad del Software• AI2.9 Administración de los requerimientos de aplicaciones• AI2.10 Mantenimiento de software aplicativo
Directrices generales
AI3 Adquirir y mantener infraestructura tecnológica
• Objetivos de control de alto nivel
Organización
Procesos:AdquirirImplementarActualizar
Infraestructura Tecnológica
Enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas
Objetivos de control de alto nivel
• Control sobre el proceso TI de Adquirir y dar mantenimiento a la infraestructura tecnológica que satisface el requisito de negocio de TI para adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI enfocándose en proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con la arquitectura definida de TI y los estándares de tecnología se logra con:– El establecimiento de un plan de adquisición de tecnología que se alinea con el plan
de infraestructura tecnológica – La planeación de mantenimiento de la infraestructura– La implantación de medidas de control interno, seguridad y auditabilidad
y se mide con:– El porcentaje de plataformas que no se alinean con la arquitectura de TI definida y los
estándares de tecnología– El número de procesos de negocio críticos soportados por infraestructura obsoleta
(o que pronto lo será) – El número de componentes de infraestructura que ya no se pueden soportar (o que
ya no se podrán en el futuro cercano)
Objetivos de control detallados
• AI3.1 Plan de adquisición de infraestructura tecnológica
• AI3.2 Protección y disponibilidad del recurso de infraestructura
• AI3.3 Mantenimiento de la Infraestructura • AI3.4 Ambiente de prueba de factibilidad
Directrices generales
AI4 Facilitar la operación y el uso• Objetivo de control de alto nivel• El conocimiento sobre los nuevos sistemas debe estar
disponible. Este proceso requiere la generación de documentación y manuales para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operación correctos de las aplicaciones y la infraestructura.
Control sobre el proceso TI de
Facilitar la operación y el uso
que satisface el requisito de negocio de TI para
garantizar la satisfacción de los usuarios finales mediante ofrecimientos de servicios y niveles de servicio, y de forma transparente integrar las soluciones de aplicación y tecnología dentro de los procesos del negocio. enfocándose en proporcionar manuales efectivos de usuario y de operación y materiales de entrenamiento para transferir el conocimiento necesario para la operación y el uso exitosos del sistema.
se logra con:• El desarrollo y la disponibilidad de documentación para transferir el conocimiento• Comunicación y entrenamiento a usuarios y a la gerencia del negocio, al personal de
apoyo y al personal de operación• La generación de materiales de entrenamiento
y se mide con:• El número de aplicaciones en que los procedimientos de TI se integran en forma
transparente dentro de los procesos de negocio• El porcentaje de propietarios de negocios satisfechos con el entrenamiento de
aplicación y los materiales de apoyo.• El número de aplicaciones que cuentan con un adecuado entrenamiento de apoyo al
usuario y a la operación
Objetivos de control detallados
• AI4.1 Plan para soluciones de operación • AI4.2 Transferencia de conocimiento a la gerencia
del negocio • AI4.3 Transferencia de conocimiento a usuarios
finales • AI4.4 Transferencia de conocimiento al personal de
operaciones y soporte
Directrices generales
AI5 Adquirir recursos de TI
• OBJETIVO DE CONTROL DE ALTO NIVEL• Se deben suministrar recursos TI, incluyendo personas,
hardware, software y servicios. Esto requiere de la definición y ejecución de los procedimientos de adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la adquisición en sí. El hacerlo así garantiza que la organización tenga todos los recursos de TI que se requieren de una manera oportuna y rentable.
Objetivo de control de alto nivel
• Control sobre el proceso TI de Adquirir recursos de TI que satisface el requisito de negocio de TI para mejorar la rentabilidad de TI y su contribución a la utilidad del negocio enfocándose en adquirir y mantener las habilidades de TI que respondan a la estrategia de entrega, en una infraestructura TI integrada y estandarizada, y reducir el riesgo de adquisición de TI se logra con:– La obtención de asesoría profesional legal y contractual– La definición de procedimientos y estándares de adquisición– La adquisición de hardware, software y servicios requeridos de acuerdo
con los procedimientos definidos
y se mide con:– El número de controversias en relación con los contratos de adquisición– La reducción del costo de compra– El porcentaje de interesados clave satisfechos con los proveedores
Objetivos de control detallados• AI5.1 Control de adquisición • AI5.2 Administración de contratos con proveedores • AI5.3 Selección de proveedores • AI5.4 Adquisición de software • AI5.5 Adquisición de recursos de desarrollo • AI5.6 Adquisición de infraestructura, instalaciones y
servicios relacionados
Directrices generales
AI6 Administrar cambios
• Objetivo de control de alto nivel • Todos los cambios, incluyendo el mantenimiento de
emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formalmente y controladamente
Objetivos de control de alto nivel
• Control sobre el proceso TI de Administrar cambios
que satisface el requisito de negocio de TI para responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se reducen los defectos y la repetición de trabajos en la prestación del servicio y en la solución
• enfocándose en controlar la evaluación de impacto, autorización e implantación de todos los cambios a la infraestructura de TI, aplicaciones y soluciones técnicas, minimizando errores que se deben a especificaciones incompletas de la solicitud y detener la implantación de cambios no autorizados se logra con:– La definición y comunicación de los procedimientos de cambio, que incluyen cambios de
emergencia– La evaluación, la asignación de prioridad y autorización de cambios • Seguimiento del estatus y
reporte de los cambios
y se mide con• El número de interrupciones o errores de datos provocados por especificaciones inexactas o
una evaluación de impacto incompleta• La repetición de aplicaciones o infraestructura debida a especificaciones de cambio
inadecuadas• El porcentaje de cambios que siguen procesos de control de cambio formales
Objetivos de control detalladas
• AI6.1 Estándares y procedimientos para cambios • AI6.2 Evaluación de impacto, priorización y
autorización • AI6.3 Cambios de emergencia • AI6.4 Seguimiento y reporte del estatus de cambio • AI6.5 Cierre y documentación del cambio
Directrices generales
AI7 Instalar y acreditar soluciones y cambios• Objetivo de control de alto nivel• Los nuevos sistemas necesitan estar funcionales una
vez que su desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, definir la transición e instrucciones de migración, planear la liberación y la transición en sí al ambiente de producción, y revisar la post-implantación.
Objetivo de control de alto nivel
• Control sobre el proceso TI de
Instalar y acreditar soluciones y cambios • que satisface el requisito de negocio de TI para contar con sistemas
nuevos o modificados que trabajen sin problemas importantes después de la instalación enfocándose en probar que las soluciones de aplicaciones e infraestructura son apropiadas para el propósito deseado y estén libre de errores, y planear las liberaciones a producción
se logra con:– El establecimiento de una metodología de prueba– Realizar la planeación de la liberación (release)– Evaluar y aprobar los resultados de las pruebas por parte de la gerencia del negocio– Ejecutar revisiones posteriores a la implantación
y se mide con– Tiempo perdido de la aplicación o problemas de datos provocados por pruebas inadecuadas– Porcentaje de sistemas que satisfacen los beneficios esperados, medidos en el proceso
posterior a la implantación– Porcentaje de proyectos con plan de prueba documentado y aprobado
Objetivos de control detallados• AI7.1 Entrenamiento • AI7.2 Plan de prueba • AI7.3 Plan de implantación • AI7.4 Ambiente de prueba • AI7.5 Conversión de sistema y datos • AI7.6 Prueba de cambios • AI7.7 Prueba final de aceptación • AI7.8 Transferencia a producción • AI7.9 Liberación de software • AI7.10 Distribución del sistema • AI7.11 Registro y rastreo de cambios • AI7.12 Revisión posterior a la implantación
Directrices generales